در دنیای مبتنی بر App امروز، یکی از ابعاد بنیادین نوآوری [1][واسط برنامه نویسی اپلیکیشن] یا همان APIها هستند. از بانکها گرفته تا خرده فروشیها، حوزه حمل نقل، اینترنت اشیا، وسائل نقلیه خودران و شهرهای هوشمند، APIها بخشی حیاتی از اپلیکیشنهای موبایل، وب و SaaS به شمار میآیند.
APIها ذاتا منطق اپلیکیشن و دادههای حساسی از قبیل [PII][2] (دادههایی که به تنهایی و بدون نیاز به داده اضافی دیگر، هویت یک کاربر را عیان می کنند نظیر شماره ملی) را در معرض دید قرارداده و در نتیجه، به طور روزافزون توجه بخش بیشتری از مهاجمین را به خود جلب مینمایند. بدون داشتن APIهایی ایمن، توسعه سریع نوآوریهای فناورانه، امکان پذیر نخواهد بود.
اگر چه کماکان میتوان از لیست ده آسیبپذیری امنیتی بحرانی وب اپلیکیشنها نیز برای امنیت APIها بهره برد، اما با توجه به ماهیت خاص APIها نیاز به لیستی از تهدیدات امنیتی مختص آنها احساس میشود. مقوله امنیت API بر راهکارها و استراتژیهای لازم برای فهم و رفع آسیبپذیریها و تهدیدات امنیتی خاص و منحصر به APIها تمرکز دارد.
اگر با پروژه OWASP Top 10 آشنایی داشته باشید، شباهتهایی بین آن و مستند پیش رو خواهید یافت: هر دو با نیت فهم آسان توسط مخاطب و قابلیت بکارگیری و انطباق در سازمان تهیه شدهاند. در صورتی که با مجموعههای OWASP Top 10 آشنایی ندارید، بهتر است پیش از رفتن به سراغ لیست اصلی، بخشهای ریسکهای امنیتی API و متدلوژی و داده از همین مستند را مطالعه نمایید.
با پرسشها، نظرات و ایدههای خود در GitHub پروژه می توانید در توسعه OWASP API Security Top 10 مشارکت کنید: • https://github.com/OWASP/API-Security/issues • https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md
در اینجا می توانید OWASP API Security Top 10 را بیابید: • https://www.owasp.org/index.php/OWASP_API_Security_Project • https://github.com/OWASP/API-Security
بدین وسیله از تمامی مشارکت کنندگان در این پروژه که با تلاشهای خود در بوجود آمدن آن نقش داشته اند سپاسگزاریم. لیست تمامی آنها در قسمت سپاسگزاریها قابل مشاهده است. متشکریم!
[1]: Application Programming Interface [2]: Personally Identifiable Information